The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В Git устранена уязвимость, которая может привести к выполне..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Git устранена уязвимость, которая может привести к выполне..."  +/
Сообщение от opennews (??), 06-Окт-18, 10:14 
Доступны (https://lkml.org/lkml/2018/10/5/904) внеплановые обновления Git 2.14.5, 2.15.3, 2.16.5, 2.17.2, 2.18.1 и 2.19.1, в которых устранена уязвимость (CVE-2018-17456 (https://security-tracker.debian.org/tracker/CVE-2018-17456)), позволяющая атакующему выполнить свой код через подстановку специально оформленного файла .gitmodules в составе проекта, клонируемого с рекурсивным включением субмодулей (проблема проявляется только при выполнении операции "git clone --recurse-submodules").


Уязвимость вызвана тем, что извлекаемое из файла .gitmodules поле URL без проверки корректности значения передаётся в качестве аргумента в процесс "git clone". Если значение URL начинается с символа "-", то "git clone" обрабатывает его как опцию командной строки. Соответственно,  злоумышленник имеет возможность через манипуляцию значением URL организовать выполнение произвольного скрипта в системе разработчика, выполняющего операцию клонирования.

В выпусках 2.17.2, 2.18.1 и 2.19.1  дополнительно добавлена fsck-проверка для выявления вредоносных репозиториев, эксплуатирующих вышеописанную уязвимость. Проверка выполняется на этапе извлечения или помещения данных в репозиторий. Настройка проверки производится через опцию "transfer.fsckObjects" в git-config. Примечательно, что проблемы  с безопасностью, эксплуатируемые при помощи параметров файла ".gitmodules", ранее всплывали уже как минимум (https://www.opennet.dev/opennews/art.shtml?num=47005) три (https://www.opennet.dev/opennews/art.shtml?num=43096) раза (https://www.opennet.dev/opennews/art.shtml?num=48680).

URL: https://lkml.org/lkml/2018/10/5/904
Новость: https://www.opennet.dev/opennews/art.shtml?num=49397

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "В Git устранена уязвимость, которая может привести к выполне..."  +/
Сообщение от Аноним (-), 06-Окт-18, 11:49 
Правильно. Передавать CLI-аргументы должен только пользователь, для вызова программ из других программ должны быть API.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В Git устранена уязвимость, которая может привести к выполне..."  +1 +/
Сообщение от Григорий Федорович Конин (?), 06-Окт-18, 15:19 
Таки что вы имеете против unix way????
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "В Git устранена уязвимость, которая может привести к выполне..."  +/
Сообщение от Анонимчег (?), 06-Окт-18, 15:37 
Таки то, что в данном случае это way в никуда. Ну или если угодно, road to hell, вымощенная благими намерениями.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "В Git устранена уязвимость, которая может привести к выполне..."  +/
Сообщение от qqq (??), 06-Окт-18, 16:26 
к сожалению API нужно будет стандартизовывать, поддерживать и так далее, потом для каких языков этот API? шельные пайпы как раз и придумали чтобы не утонуть во всяких API
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "В Git устранена уязвимость, которая может привести к выполне..."  –1 +/
Сообщение от Аноним (9), 07-Окт-18, 10:47 
Лол, так либо API надо стандартизовывать, чтобы с ним могли работать, либо вывод командной строки/exit-кодов и прочей фигни, чтобы с этим так же можно было работать (только в разы неудобнее и менее стабильно). Коммент - полный бред, нужно делать нормальную библиотеку.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "В Git устранена уязвимость, которая может привести к выполне..."  +/
Сообщение от Аноним (9), 07-Окт-18, 10:50 
Еще один отросток. Unix-way - это exec программ? Что за бред? Unix-way - это то, что модуль должен делать только то, для чего он предназначен (узкое предназначение), а не systemd. Принцип связности-сцепления модулей - вот, вкратце, о чем unix way.

https://en.wikipedia.org/wiki/Unix_philosophy#Rule_of_Modula...

Начитались опеннетов, потому ябутся в комментариях.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "В Git устранена уязвимость, которая может привести к выполне..."  +3 +/
Сообщение от Michael Shigorinemail (ok), 06-Окт-18, 17:22 
Вы бы хоть немного понимали что-то в программировании и инфобезопасности, когда лезете рассказывать, кто кому чего должен...

API бывают точно так же проблемными.  Пользователи точно так же могут напередавать.  А самый безопасный контупер -- отключенный от сети и питания, залитый свинцом и захороненный под охраной трёх автоматчиков.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "В Git устранена уязвимость, которая может привести к выполне..."  +/
Сообщение от Аноним (12), 08-Окт-18, 10:14 
Так тут одни клоуны сидят же .
Им лишь бы покукарекать .
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "В Git устранена уязвимость, которая может привести к выполне..."  +/
Сообщение от Аноним (-), 12-Окт-18, 04:20 
Однако доля правды в его словах есть. "If it runs, it can be defeated" (c).
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "В Git устранена уязвимость, которая может привести к выполне..."  +/
Сообщение от Аноним (-), 12-Окт-18, 04:19 
И таки кормить шелл внешними данными - затея очень так себе с точки зрения безопасности. Как-то так исторически.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "В Git устранена уязвимость, которая может привести к выполне..."  +2 +/
Сообщение от Мейнард (?), 06-Окт-18, 23:16 
CLI - это тоже API, и довольно универсальный. Если не проверять и не чистить ввод, то какая разница каким образом он в программу попадает: в виде ключа, или, к примеру, как json? Все равно будут эксплойты.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "В Git устранена уязвимость, которая может привести к выполне..."  +/
Сообщение от Дуплик (ok), 07-Окт-18, 08:49 
Когда они уже уйдут от использования SHA-1?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "В Git устранена уязвимость, которая может привести к выполне..."  +/
Сообщение от KonstantinB (??), 08-Окт-18, 02:58 
https://github.com/git/git/blob/master/Documentation/technic...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру